Czy powiadamiać Cię o nowych wpisach?

Bądź na bieżąco - z nami nie ominą Cię żadne zmiany w przepisach.

Zapisz się

Informujemy, że Administratorem danych osobowych jest Lex Artist Przemysław Zegarek, ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe zostały przekazane dobrowolnie i będą przetwarzane wyłącznie w celu przesłania powiadomień o nowych wpisach na blogu oraz nowych usługach. Bez wyraźnej zgody dane osobowe nie będą udostępniane innym odbiorcom danych. Mają Państwo prawo dostępu do swoich danych oraz ich poprawiania poprzez kontakt: newsletter@blog-daneosobowe.pl

Powierzenie danych osobowych – odpowiedzialność i orzecznictwo

Tekst ten będzie pierwszą częścią artykułów poświęconych sytuacjom, w których Administrator danych osobowych przekazuje dane innemu podmiotowi. Niejednokrotnie kwestie związane z powierzeniem i udostępnieniem danych osobowych stają się przyczyną wątpliwości osób zajmujących się ochroną danych osobowych. Wiele razy zastanawiamy się, która z wyżej wymienionych form przekazania danych innemu podmiotowi jest w danym przypadku właściwa, słuszna oraz przede wszystkim zgodna z literą prawa. Wyznacznikiem, który różnicuje te dwa pojęcie jest przede wszystkim rola, jaką w tym procesie odgrywa podmiot otrzymujący dane osobowe. Poniżej przedstawiamy obrazową charakterystykę powierzenia przetwarzania danych osobowych jako jednej z dwóch form przekazywania danych. Zapraszamy do dalszej części artykułu, która znajduje się pod infografiką.

Loading...

Loading…

Podstawy prawne powierzenia przetwarzania danych osobowych

Powierzenie przetwarzania danych osobowych zostało zdefiniowane w art. 31 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922, dalej „UODO”). Artykuł ten daje Administratorowi danych osobowych możliwość powierzenia przetwarzania danych osobowych innemu podmiotowi na podstawie zawarcia stosownej pisemnej umowy.

Podmiot, któremu powierzono przetwarzanie danych może dokonywać go jedynie w zakresie i celu przewidzianym w umowie. Jako zakres przetwarzanych danych rozumiemy poszczególne kategorie danych (np. imię, nazwisko, stanowisko, adres e-mail, adres zamieszkania, płeć) lub zbiory danych (np. Pracownicy, Klienci, Marketing). Cel to albo wskazanie konkretnych operacji, jakie może wykonać na powierzonych danych albo powołanie się na umowę, w związku, z którą następuje powierzenie.

Umowa taka może dotyczyć różnych form przetwarzania danych, na przykład przetwarzania danych w chmurze, przez firmy marketingowe, kurierów czy wszelkiego rodzaju outsourcing’ów takich jak księgowości.

W praktyce oznacza to, że Administrator dzięki zawarciu umowy powierzenia nie wykonuje czynności obejmujących przetwarzanie samodzielnie, lecz przekazuje je innemu podmiotowi zgodnie z umową.

Kwestia odpowiedzialności – ADO i przyjmującego w powierzenie 

Podmiot, który przyjmuje dane w powierzenie z związku z zawarta umową nie staje się ich administratorem, ponieważ nie decyduje o celach i środkach przetwarzania danych. Wykonuje on jedynie czynności związane z przetwarzaniem w imieniu i na rzecz Administratora danych. Ustawa w żaden sposób nie określa tej funkcji, podmiot ten można nazwać procesorem, przyjmującym w powierzenie lub wykonawcą. Zgodnie z art. 31 ust. 3 UODO procesor zobowiązany jest jeszcze przed rozpoczęciem przetwarzania danych do wdrożenie środków je zabezpieczających (art. 36-39 UODO) oraz spełnić wymogi z art. 39a między innymi posiadać dokumentacje z zakresu ochrony danych osobowych. W umowie powinny zostać dokładnie wskazane prawa oraz obowiązki, podmiotu, któremu powierzono przetwarzania danych. Jej treść powinna zostać dostosowana do konkretnego przypadku, a w szczególności zawierać postanowienia z art. 31 UODO.

Zasadą jest, że odpowiedzialność za przestrzeganie przepisów UODO spoczywa na Administratorze danych, ale w przypadku powierzenia nie wyłącza to odpowiedzialności podmiotu, z którym została zawarta umowa. Podmiot przyjmujący dane w powierzenie ponosi odpowiedzialność cywilną w stosunku do administratora, która wynika z postanowień wyżej wspomnianej umowy. Z tytułu spełnienia wymogów zabezpieczenia danych ponosi odpowiedzialność administracyjną (kontrola GIODO), a także może odpowiadać za złamanie przepisów karnych UODO (rozdział 8).

Nie możemy zapomnieć, że Administratorowi danych przysługuje również prawo kontroli zgodności przetwarzania danych przez podmiot przyjmujący dane w powierzenie.

A może podpowierzenie?

Kwestie związane z podpowierzeniem danych osobowych nie zostały uregulowane na gruncie UODO. Jednak tak zwane dalsze powierzenie jest sytuacją, która bardzo często zdarza się w praktyce rynkowej. Mamy z nim do czynienia, gdy podmiot, któremu powierzamy dane osobowe (wykonawca) przekazuje je w dalsze powierzenie (podwykonawcy). Administrator danych powinien zadbać by w umowie powierzenia odnieść się również do sytuacji, w których konieczne może być podpowierzenie danych i zabezpieczyć ten proces na przykład poprzez zapis o wyrażeniu zgody na podpowierzenie. Umowa taka powinna spełniać wszystkie wymogi przewidziane w art. 31 UODO odnoszące się do powierzenia. Należy pamiętać, że podmiot, któremu podpowierzono dane również ponosi odpowiedzialność za nie przestrzeganie przepisów UODO.

Co na to orzecznictwo? 

Wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 19 sierpnia 2008 r. II SA/Wa 605/08 LEX

„Administratorem danych będzie ten podmiot, który decydując o celu przetwarzania danych będzie konkretyzował jego zakres, aby odpowiadał on potrzebom bardziej szczegółowo określonego zadania publicznego.

Odesłanie zawarte w art. 31 ust. 5 ustawy o ochronie danych osobowych nakazujące “odpowiednie” stosowanie przepisów oznacza, że w postępowaniu kontrolnym, a zwłaszcza przy wydawaniu decyzji, powinna być uwzględniona specyfika przetwarzania danych na podstawie umowy. Natomiast przy ustalaniu adresata decyzji należałoby przyjąć, iż te decyzje Generalnego Inspektora, które odnoszą się do uchybień w zakresie określonym w art. 36-39 i przepisach wykonawczych określonych w art. 39a powinny być z reguły skierowane do podmiotu przetwarzającego dane.” 

Wyrok Sądu Apelacyjnego w Warszawie z dnia 23 września 2015 r. VI ACa 1357/14 LEX

„Przepis art. 31 ust. 4 u.o.d.o. stanowi, że odpowiedzialność za przestrzeganie przepisów niniejszej ustawy spoczywa na administratorze danych, co nie wyłącza odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z tą umową. Nie chodzi tu jednak o odpowiedzialność cywilną, ale o odpowiedzialność przed Generalnym Inspektorem Danych Osobowych, w zakresie wypełnienia obowiązków z art. 36-39 ustawy. Natomiast w sytuacji, gdy dochodzi do naruszenia dóbr osobistych osób trzecich, w związku z bezprawnym przetwarzaniem danych, to zarówno administrator, jak i podmiot, któremu zlecono przetwarzanie danych opowiadają na zasadach ogólnych, przewidzianych w k.c.”

Wyrok Naczelnego Sądu Administracyjnego w Warszawie z dnia 31 stycznia 2012 r. I OSK 1318/11 LEX

„Przewidziana w art. 31 u.o.d.o. instytucja powierzenia przetwarzania danych osobowych wymaga, by zlecającym był właśnie administrator danych, czyli podmiot aktualnie przetwarzający dane osobowe, a nie podmiot mający przetwarzać dane, gdyż tylko przetwarzający dane osobowe decydujące, jak tego wymaga ustawowa definicja administratora danych, o celach i środkach przetwarzania danych, a więc szeregu składających się na ten proces czynności, które mają miejsce, a nie, które zostaną przyjęte.” 

Podsumowanie

Zawierając umowę powierzenie trzeba przede wszystkim pamiętać o wymogach, jakie stawia ustawa o ochronie danych osobowych oraz o zabezpieczeniu interesu Administratora danych. W umowie takiej powinny zostać dokładnie określone obowiązki podmiotu, któremu powierzono dane, uregulowane kwestie podpowierzenia czy rozwiązania umowy. Zanim zdecydujemy się na powierzenie danych należy dokładnie przeanalizować treść umowy ramowej i rozważyć czy powierzenie w tym przypadku jest najwłaściwszym z rozwiązań.

W kolejnej cześć artykułu zajmiemy się charakterystyką i analizą udostępnienia danych osobowych.

Zapraszamy też do zapoznania się z artykułem https://blog-daneosobowe.pl/udostepnianie-powierzanie-i-przekazywanie-danych-osobowych-w-swietle-ustawy-o-ochronie-danych-osobowych-i-praktyki/, który wprowadzi Państwa w podstawowe różnice pomiędzy powierzeniem a udostępnieniem danych osobowych.

Powiązane artykuły

Umowa powierzenia przetwarzania danych osobowych dziś i według RODO
Jak nadawać upoważnienia do przetwarzania danych osobowych. Wzory dokumentów i dobre praktyki
Odpowiedzialność za bezprawne wysyłanie informacji handlowych

19 Odpowiedzi

  1. Hania

    Witam,

    powierzenie przetwarzania danych zostało opisane. Bardzo proszę o opisanie szerzej tematu “Udostępnianie danych osobowych” (np. firmie ubezpieczeniowej w celu ubezpieczenia pracowników i członków ich rodzin na wyjazd). Np. kwestia jak ma wyglądać umowa o udostępnienie +kwestia innych ważnych spraw. Z góry dziękuję. Pozdrawiam

  2. Łukasz Zegarek

    Witam,

    Będzie to kolejna część cyklu artykułów o przekazywaniu danych. Zachęcam do zapoznania się z infografiką (została dodana dopiero dzisiaj), która obrazuje różnice między powierzeniem a udostępnieniem oraz wskazuje w jakich przypadkach najczęściej dane powierzamy, a w jakich własnie udostępniamy.

    Pozdrawiam,

  3. Joanna

    Witam.
    Ośrodek Medycyny Pracy ma podpisaną umowę na wykonywanie badań laboratoryjnych z laboratorium z zewnątrz. Czy w tym przypadku potrzebne jest zawarcie umowy dotyczącej powierzenia danych osobowych? (Na skierowaniu przekazujemy imię, nazwisko, numer PESEL, datę urodzenia oraz miejsce zamieszkania).

    1. Kancelaria Lex Artist

      Tak, w takim przypadku istnieje konieczność podpisania umowy powierzenia przetwarzania danych osobowych zgodnie z art. 31 ustawy. Jeżeli między Ośrodkiem Medycyny Pracy, a zewnętrznym laboratorium nie zostanie podpisana stosowana umowa podmioty te mogą narazić się na odpowiedzialność za naruszenie przepisów ustawy o ochronie danych osobowych.

  4. Witam serdecznie
    Bardzo proszę o informację, czy należy podpisać umowę powierzenia czy wystarczy jakiś dokument potwierdzający udostępnienie danych zatrudnionych osób lekarzowi sprawującymi nadzór nad pracownikami oraz prawnikowi zatrudnionemu na umowę zlecenie w mojej firmie?
    Dziękuję

    1. Kancelaria Lex Artist

      Wszystko zależy od konstrukcji samej umowy głównej. Jeśli umowa z lekarzem dotyczy medycyny pracy będziemy mieć do czynienia z udostępnieniem danych osobowych pracowników na podstawie przepisów prawa. W sytuacji gdy są to jakieś dodatkowe usługi świadczone na rzecz pracowników najczęściej będzie to udostępnienie danych na podstawie zgody pracownika. W przypadku prawnika zatrudnionego na umowę zlecenia w firmie najlepszym rozwiązaniem będzie nadanie mu upoważnienia do przetwarzania danych osobowych.

  5. Anna

    witam serdecznie,
    Chciałabym uzyskać informację jak należy postąpić w przypadku dzieci z placówek, kiedy na Zespół, gdzie omawiana jest sytuacja podopiecznego (zdrowie, edukacja, zachowanie) są zapraszane osoby z zew. np. nauczyciel. Jaki art z ustawy należy zastosować, co ma dokładnie zawierać druk?

    1. Kancelaria Lex Artist

      W takim przypadku nauczyciel czy na przykład psycholog szkolny powinien posiadać upoważnienie do przetwarzania danych osobowych obejmujące swoim zakresem dane osobowe dzieci z placówki

  6. Karolina

    Witam. Jako spółdzielnia mieszkaniowa doręczamy korespondencje naszym lokatorom za pośrednictwem tzw. dozorców, którzy zatrudnieni są w firmie zewnętrznej. Zawarliśmy z tą firmą umowę powierzenia przetwarzania danych, czy mamy także nadać upoważnienia dozorcom czy sama ta umowa wystarczy?

    1. Kancelaria Lex Artist

      W takim przypadku wystarczająca jest sama umowa powierzenia przetwarzania danych osobowych. Poprzez jej zawarcie zgodnie z art. 31 ustawy o ochronie danych osobowych firma zewnętrzna zobowiązuje się do podjęcia środków zabezpieczających zbiór danych, w tym między innymi nadania swoim pracownikom stosownych upoważnień do przetwarzania danych osobowych.

  7. Ewa

    Dzień dobry,

    chciałam podpytać o firmy kurierskie, wydawało mi się, że w ich przypadku mamy do czynienia z udostępnieniem danych a nie powierzeniem. Bardzo proszę o bardziej szczegółowe wyjaśnienie…

    1. Kancelaria Lex Artist

      Pani Ewo,
      To jedno z tych pytań, na które usłyszymy bardzo różne odpowiedzi.
      Stanowisko GIODO w tym zakresie nie jest jednoznaczne. Z jednej strony możemy znaleźć wypowiedzi odnoszące się do udostępnienia danych osobowych firmom kurierskim http://www.giodo.gov.pl/1520007/id_art/3213/j/pl/.
      Pojawiają się również stanowiska świadczące o tym, że przedsiębiorca i firma kurierska powinni być związani stosunkiem powierzenia danych osobowych – decyzja GIODO z dnia 21 września 2011 r. (DOLiS/DEC-819/11 dot. DOLiS-440-661/10/GP/I).
      My sugerujemy następujące kryterium praktyczne. Jeśli filarem mojej firmy, jest współpraca z firmami kurierskimi np. sklep internetowy. To wtedy zawieramy umowę powierzenia z firmami kurierskimi.
      Jeśli współpracuję z firmami kurierskimi jedynie w celach pomocniczych (co jakiś czas przesyłka, dokument, nadanie, odbiór paczki) – to wtedy traktujemy proces jako udostępnienie.

  8. Ewa

    I jeszcze jedno pytanie, czy RODO reguluje w jakiś sposób kwestię nadawania upoważnień dla pracowników do przetwarzania danych osobowych? Czy warto je utrzymać po 25 maja 2018?

    1. Kancelaria Lex Artist

      RODO bardzo lakonicznie odnosi się do kwestii upoważnień. Ten temat został poddany deregulacji. Bardzo możliwe, że dobre praktyki, które wyda Prezes nowego Urzędu Ochrony Danych Osobowych będą zawierały rekomendację co do treści i formy upoważnień do przetwarzania danych osobowych.

      My rekomendujemy utrzymanie upoważnień. Ten dokument podkreśla odpowiedzialność pracownika za przetwarzane przez niego dane osobowe. Poświadcza również, że pracownik zobowiązał się do zachowania danych w tajemnicy i jest w pełni świadom odpowiedzialności. Nadanie upoważnienia nie raz już bardzo przydało się w naszej praktyce w różnych trudnych sytuacjach (np. wycieków danych). W trakcie kontroli GIODO czy policji mogliśmy wykazać, że jako ADO dochowaliśmy najwyższej staranności przy zabezpieczeniu danych.

  9. Anna

    Dzień dobry,

    Mam problem z zaklasyfikowaniem czy mam do czynienia z powierzeniem czy udostępnieniem i co dalej z tym począć. A mianowicie chodzi mi o przekazywane puste formularze deklaracji ubezpieczeniowej dla pracowników, jest to ubezpieczenie dobrowolne. Na kwestionariuszu jest informacja, iż ADO jest zakład ubezpieczeń. Dział Kadr przekazuje te deklaracje Pracownikowi, on ma możliwość wpisania siebie jak i osoby sobie bliskie np. Konkubinę. Następnie deklaracje z danymi osobowymi trafiają do ubezpieczalni za pośrednictwem Działu Kadr, który ewidencjonuje dane osobowe z formularza do systemu należącego do ubezpieczyciela. Pytanie brzmi czy powinno mieć przedsiębiorstwo podpisaną umowę o powierzeniu? Czy jednak jest to udostępnienie.

    1. Kasia

      Ponieważ tutaj wykraczamy poza cel przetwarzania związany z wykonywaniem obowiązków pracodawcy, zakład ubezpieczeń powinien zawrzeć z pracodawcą umowę powierzenia, której celem będzie zebranie danych i przekazanie do zakładu będącego ADO.

    2. Kancelaria Lex Artist

      Dzień dobry, wszystko zależy od dokładnej treści umowy oraz treści informacji widniejącej na formularzu. W tak przedstawione sytuacji dochodziło będzie do udostępnienia danych osobowych.

  10. Ewa

    Dzień dobry,
    czy spotkaliście się Państwo z problemem przetwarzania danych osobowych w przypadku świadczenia nieodpłatnej pomocy prawnej finansowanej przez państwo? Zgodnie z ustawą pomoc ta świadczona jest przez prawników (w tym adwokatów i radców prawnych) na rzecz osób uprawnionych, które składają określonej treści oświadczenia w formie pisemnej, zawierające dane osobowe. Oświadczenia te odbierają prawnicy i następnie przekazują je raz w miesiącu staroście, który zgodnie z ustawą jest ADO zawartych w tych oświadczeniach. Prawnicy świadczą pomoc prawną na podstawie umowy zlecenia zawartej z powiatem. Czy w takiej sytuacji wystarczy upoważnienie, czy powinna być zawarta umowa o powierzeniu przetwarzania danych osobowych? Pomoc ta udzielana jest także przez prawników działających z ramienia organizacji pozarządowych, które to organizacje zawierają umowy z powiatem – czy w takiej sytuacji również możliwe jest upoważnienie tych prawników, czy też należ zawrzeć umowę powierzenia przetwarzania danych z tą organizacją?

    1. Kancelaria Lex Artist

      W opisanym przypadku należy przyjąć, że powinna być zawarta umowa powierzenia. Istotny jest fakt, że nie musi być to odrębny dokument- tą kwestię można uregulować w umowie na świadczenie nieodpłatnej pomocy prawnej.

Zostaw odpowiedź